GoldenJackal è un gruppo di cyber-spionaggio avanzato APT (Advanced Persistent Threat) che ha attirato l’attenzione degli esperti di sicurezza informatica per le sue operazioni sofisticate e mirate.
Attivo almeno dal 2019, questo gruppo APT ha preso di mira enti governativi e diplomatici in Europa, Medio Oriente e Asia meridionale.
Recentemente, ESET Research ha pubblicato un rapporto dettagliato sulle attività di GoldenJackal, rivelando l’uso di toolset personalizzati per compromettere sistemi isolati dalla rete (air-gapped).
Secondo i ricercatori un indizio potrebbe fare attribuire tali attività a sviluppatori di madre lingua russa e collegati ai gruppi nation-state Turla e MoustachedBouncer.
Fonte: ESET.
Indice degli argomenti
Attività e obiettivi del gruppo criminale GoldenJackal
GoldenJackal è noto per attaccare organizzazioni governative e diplomatiche, con un focus particolare su sistemi altamente sensibili e isolati dalla rete.
Tra gli attacchi documentati, vi sono quelli contro un’organizzazione governativa europea tra maggio 2022 e marzo 2024 e un’ambasciata dell’Asia meridionale in Bielorussia nel 2019.
“Analizzando il set di strumenti utilizzati dal gruppo, ESET ha identificato un attacco che GoldenJackal ha effettuato nel 2019 con strumenti personalizzati mirato ai sistemi air-gapped di un’ambasciata dell’Asia meridionale in Bielorussia”, spiega il ricercatore ESET Matías Porolli. “A maggio 2022, abbiamo scoperto un set di strumenti che non potevamo attribuire a nessun gruppo APT. Ma una volta che gli attaccanti hanno utilizzato uno strumento simile a uno di quelli già documentati, siamo riusciti a trovare un collegamento tra il set di strumenti noto di GoldenJackal e il nuovo”.
Tecniche e strumenti di cyber spionaggio
Sebbene gli attacchi contro l’ambasciata in Bielorussia abbiano utilizzato strumenti personalizzati visti solo in quel contesto specifico, dimostrano comunque la notevole capacità di azione del gruppo.
GoldenJackal utilizza una varietà di strumenti malware, molti dei quali scritti in C#, Go e Python. Tra questi, troviamo:
- GoldenDealer: Un componente che monitora l’inserimento di dispositivi USB e può scaricare eseguibili da un server di comando e controllo (C2) e nasconderli su drive rimovibili.
- GoldenHowl: Una backdoor modulare scritto in Python installata su macchine isolate dalla rete tramite GoldenDealer.
- GoldenRobo: Un file stealer scritto in Golang che esfiltra dati sensibili dai sistemi compromessi.
Fonte: ESET.
Così l’esperto Porolli spiega la catena d’infezione rilevata nel 2019: “Quando una vittima inserisce un’unità USB compromessa in un sistema air-gapped e clicca su un componente che ha l’icona di una cartella in realtà un eseguibile dannoso, viene installato e avviato GoldenDealer, che inizia a raccogliere informazioni sul sistema air-gapped memorizzandole sull’unità USB. Quando l’unità viene nuovamente inserita in un PC connesso a Internet, GoldenDealer prende le informazioni sul PC air-gapped dall’unità USB e le invia al server C&C (Command&Control). Il server risponde con uno o più eseguibili da lanciare sul sistema air-gapped. Infine, quando l’unità viene nuovamente inserita nel sistema air-gapped, GoldenDealer avvia gli eseguibili prelevati dall’unità. Non è necessaria alcuna interazione dell’utente, poiché GoldenDealer è già in esecuzione”.
Vale la pena notare che sarebbe un componente worm sconosciuto, probabilmente JackalWorm, a infettare l’unità USB dal PC connesso a Internet per poi, tramite una finta cartella, indurre l’utente a installare GoldenDealer quando l’unità USB viene inserita in un sistema air-gapped.
Lo scopo di tali attacchi è sempre lo spionaggio
La capacità di GoldenJackal di sviluppare e distribuire toolset distinti per compromettere sistemi isolati dalla rete dimostra un alto livello di sofisticazione e risorse.
Questo gruppo non solo riesce a infiltrarsi in reti altamente protette, ma anche a mantenere una presenza persistente e ad esfiltrare dati sensibili senza essere rilevato.
È anche risaputo che GoldenJackal utilizzi, come vettori iniziali, falsi installer Skype e documenti Word armati, nonché lo sfruttamento della nota vulnerabilità Follina.
GoldenJackal rappresenta senza dubbio una minaccia significativa per la sicurezza informatica globale, in particolare per le organizzazioni governative e diplomatiche.
Le abilità dimostrate evidenziano la necessità di misure di sicurezza sempre più sofisticate e di una vigilanza costante. Un elenco completo degli IoC (Indicatori di Compromissione) è disponibile nel repository GitHub.
